pap chap认证FR原理及配置详细讲解Word下载.docx

1、比如说现在的Internet拨号认证接入方式就是PAP认证。chap是三次握手，认证首先由主认证方发起认证请求，向被认证方发送“挑战”字符串（一些经过摘要算法加工过的随机序列）。然后，被认证方接到主认证方的认证请求后，将用户名和密码（这个密码是根据“挑战”字符串进行MD5加密的密码）发回给主认证方。最后，主认证方接收到回应“挑战”字符串后，在自己的本地用户数据库中查找是否有对应的条目，并将用户名对应的密码根据“挑战”字符串进行MD5加密，然后将加密的结果和被认证方发来的加密结果进行比较。如果两者相同，则认为认证通过，如果不同则认为认证失败先来讲下pap 认证。1、单向认证R1只做如下配置（验证

2、服务端）在配置模式下设定用户名和密码（用户名和密码随意）R1（config）#username a password 123在端口模式下进行协议的封装和认证方式的指定R1（config-if）#encapsulation pppR1（config-if）#ppp authentication papR2只做如下配置（验证客户端）在端口模式下进行协议的封装和发送验证信息（对方设置的用户名和密码）R2（config-if）#encapsulation pppR2（config-if）#ppp pap sent-username a password 123这样就可以完成pap的单向认证2、双向认证

3、（其实做完上面的步骤仔细一想，如果两边既是服务端又是客户端口，这样就是双向认证了，不必看下面的也知道该怎么配双向认证了）R1只做如下配置（既是验证服务端又是客户端）在端口模式下进行协议的封装、认证方式的指定和发送验证信息（对方设置的用户名和密码）R1（config-if）#ppp pap sent-username b password 456R2只做如下配置（既是验证服务端又是客户端）R2（config）#username b password 456R2（config-if）#ppp authentication pap这样即可完成pap的双向认证再来说说chap认证R1（config-i

4、f）#ppp authentication chap在端口模式下进行协议的封装和认证时的用户名和密码指定（记住这里不发送用户名和密码，而是发送一个经过加密密码的一个字符串）R2（config-if）#ppp chap hostname aR2（config-if）#ppp chap password 123这样就可以完成chap的单向认证（这里和pap有所有同，请注意）在配置模式下设定用户名和密码（用户名可随意且可以不同但密码一定相同，因为最终核对的是同一个密码加密后散列函数，如果密码都不同，认证肯定失败）R1（config-if）#ppp chap hostname b /这里只需指定用户名

5、就可以，因为密码双方都知道在配置模式下设定用户名和密码（同上）R2（config）#username b password 123在端口模式下进行协议的封装和认证时的用户名和密码指定（记住这里不发送用户名和密码，而是发送一个经过加密密码的一个字符串，也可以解释为什么这里没有sent-username命令）R2（config-if）#ppp authentication chapR2（config-if）#ppp chap hostname a /同上这样即可完成chap的双向认证-完-Frame-Relay配置与相关概念的理解2010年07月06日 星期二 16:00实验原理：Frame-Re

6、lay（帧中继）简称FR,是国际电信联盟通信标准化组（ITU-T）和美国国家标准化协会（ANSI）制定的一种标准，它定义在公共数据网络（PDN）上发送数据的过程。它是一种面向连接的数据链路技术，为提高高性能和高效率数据传输进行了技术简化。由于帧中继没有X.25中使用的窗口流控和重传策略，没有与复杂的纠错相关的开销，因此，帧中继对于需要高吞吐率的应用是非常适宜的。FR可以在典型速率56Kbit/s到2Mbit/s范围内（更高的速率也可以使用）的多种不同的物理层设备的服务中使用。提供FR服务的网络既可以是服务于公众的传输网络，也可以使服务于单个企业的私有设备的网络。FR支持永久虚链路PVC和交换虚

7、链路SVC。PVC是帧中继虚链路中最普遍的类型，是永久建立的连接，它一般用于DTE设备之间通过FR网络有频繁、持续的数据传输的情况。SVC是暂时的连接，它一般用于DTE设备之间通过帧中继网络仅有不定时的数据传输的情况。每一个SVC连接都需要有呼叫建立和拆除过程。Cisco IOS 11.2以上版本支持帧中继SVC。在实施SVC之前首先要搞清楚：你的网络运营商是否支持SVC,因为很多运营商仅支持PVC。对帧中继提供商而言，SVC有几个优点，比如更容易管理帧中继云图，使用它的带宽。但因为SVC的价格比PVC要高，其协议标准既然相当新，大多数FR网络提供商仍使用PVC,本实验也只配置PVC。实验目的

8、：1、 了解帧中继的工作原理2、 模拟帧中继网络实现帧中继Point-to-Point通信3、 模拟帧中继网络实现帧中继Multipoint通信实验网络拓扑：实验步骤：一、配置模拟帧中继网络（实际由网络服务商提供，不单单只是一台帧中继交换机，而是由多台帧中继交换机互联构成的，不需要配置）用一台路由器R2模拟帧中继交换机（三层设备模拟二层设备，只提供物理层和数据链路层的功能）。命令的具体解释：1、Frame-relay switching 开启路由器模拟交换机功能2、No ip address 不进行IP地址的配置3、Encapsulation frame-relay ietf 封装类型为fra

9、me-relay（为了配置帧中继接口，必须选择在每一端封装数据流量的封装类型。有两种可能的帧中继封装：Cisco封装和IETF封装。缺省情况下，一个接口使用Cisco帧中继封装方法。该方法在Cisco中优先选用，但如果路由器在帧中继网络中与另一个厂商的网络设备相连，则不应该使用这种方法。4、Clock reate 64000 设置本端的端口速率是64000Kbps/s（设置端口速率只需要在DCE端设置，而DTE端跟随就可以了）5、Frame-relay lmi-type cisco 定义模拟帧中继交换机所使用的LMI类型为Cisco（缺省的LMI类型就是Cisco类型，如果使用Cisco IO

10、S 11.1版本或它以前的版本，必须使用手工定义帧中继交换机所使用的LMI类型，命令格式如下：Router（config-if）#frame-relay lmi-type ansi | Cisco | q933i当使用Cisco IOS 11.2及以上版本时，LMI类型可以被自动感知，所以不需要进行任何配置。如果指定LMI类型，自动感知则不起作用。6、frame-relay intf-type dce 设置本端接口的intf类型为DCE端。7、frame-relay route 100 interface serial 0/1 200 设置S0/0端的其中的一个DLCI号为100，并与S0/1

11、端口设置的DLCI号200关联（这样，就可以让两个接口之间通过DLCI互通）8、frame-relay route 300 interface serial 0/1 400 设置S0/0端的其中的一个DLCI号为300，并与S0/2端口设置的DLCI号400关联R2的Serial 0/0接口的具体配置：R2的Serial 0/1接口的具体配置：R2的Serial 0/2接口的具体配置：二、配置point-to-point帧中继通信点到点：在一个子接口上建立一条到远端路由器上某个物理接口或某个子接口的PVC连接。在这种情况下，一条PVC连接两端的接口在同一个子网中，并且每个（子）接口都有一个DL

12、CI号码。在这种环境中，广播不是什么问题，因为路由器的连接是点到点的，如同一条专线一样。1、 配置物理接口去使用帧中继子接口子接口是对一个物理接口的逻辑划分。在水平分割路由环境中，在一个子接口上接收到的路由更新可以向其他子接口发送。在子接口配置中，每条虚电路都可以被配置成点到点连接，使子接口像一条专线一样操作。使用子接口的一个主要原因是为了使距离矢量路由协议能在水平分割的路由环境中正确地运作。在某个子接口上所收到的路由更新广播数据包可以被转发到其他子接口上去。在一个物理接口上配置子接口，必须用帧中继封装配置接口（Cisco或IETF）。同时，必须删除在物理接口上配置的任何IP地址，因为每个子接口都有自己的IP地址。如果物理接口有一个地址，数据帧就不会被子接口接收。命令解释：1、interface serial 0/1 进入总接口 S0/12、Encapsulation fr